Willkommen Gast. Bitte anmelden oder registrieren.

Autor Thema: Anmeldeverfahren  (Gelesen 2189 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Sammy

  • Bestätigter Nutzer
  • Beiträge: 165
Anmeldeverfahren
« am: 21. März 2013, 09:08:22 »
Ich bin da auf ein Thema gestoßen, dass mich beim schreiben jetzt selbst zum Schmunzeln bringt:

Ich arbeite an einem kleinen Dienst, zu dem man sich anmelden muss und auch eine Email benötigt. Das normale Procedere scheint dabei zu sein, dass man die Adresse bestätigt, indem man in einer auf einen Link klickt. Erst dann wird der Account frei gegeben (oder wieder freigegeben, wenn man die Mail ändert).

Warum gerade so?! Wenn die Adresse falsch ist, dann ist der Account erst mal nicht mehr nutzbar. Gibt's dafür einen Grund? Wäre nicht eine Code, den man eingeben muss einfacher?!
Das flog mir gestern so zu und ich wollte das mal in die Runde werfen - und nein, ich habe auch echte Probleme :-)

Joomla-Hilfe

  • Oberwetterfrosch (Mod)
  • Beiträge: 155
Antw: Anmeldeverfahren
« Antwort #1 am: 21. März 2013, 11:01:27 »
Warum gerade so?!
Wie denn sonst?

Zitat
Wenn die Adresse falsch ist, dann ist der Account erst mal nicht mehr nutzbar. Gibt's dafür einen Grund?
Äh, ja. Wenn die Adresse falsch ist, gehört sie vermutlich nicht dem Menschen, der versucht, sich anzumelden.

Zitat
Wäre nicht eine Code, den man eingeben muss einfacher?!
Ja, der steht auch in der Mail, falls das mit dem Link nicht klappt.
Dietmar

Die Realität ist eine Halluzination, die durch akuten Alkoholmangel hervorgerufen wird.

Sammy

  • Bestätigter Nutzer
  • Beiträge: 165
Antw: Anmeldeverfahren
« Antwort #2 am: 21. März 2013, 13:39:02 »
Naja, wie war ja erstmal nicht die Frage.

Ich habe mir nur folgendes Szenario vorgestellt:
Ich möchte meine Mail-Adresse ändern und vertippe mich. In der Folge ist mein Account blockiert, weil ich nicht an die Mail komme.

Warum wird nicht ein Code zugeschickt, den man noch während der Registrierung eingegeben wird?!

Nicht falsch verstehen, das funktioniert ja auch so. Beim genaueren Hinsehen fand ich das nur unlogisch und wunderte mich, dass der Standard ganz anders ist (empfinde ich zumindest so).
Es hätte ja auch sein können, dass es da einen bestimmten Grund gibt.

Joomla-Hilfe

  • Oberwetterfrosch (Mod)
  • Beiträge: 155
Antw: Anmeldeverfahren
« Antwort #3 am: 21. März 2013, 14:51:01 »
Ich habe mir nur folgendes Szenario vorgestellt:
Ich möchte meine Mail-Adresse ändern und vertippe mich. In der Folge ist mein Account blockiert, weil ich nicht an die Mail komme.
Dann wendet man sich mit einer freundlichen Mail an den Admin.

Zitat
Warum wird nicht ein Code zugeschickt, den man noch während der Registrierung eingegeben wird?!
Weil die Programmierer des SMF an etwas Restintelligenz beim User glauben und ein Minimum an Sorgfalt bei einer so wichtigen Eingabe voraussetzen?
Dietmar

Die Realität ist eine Halluzination, die durch akuten Alkoholmangel hervorgerufen wird.

Sammy

  • Bestätigter Nutzer
  • Beiträge: 165
Antw: Anmeldeverfahren
« Antwort #4 am: 21. März 2013, 18:03:19 »
Na das nimmt ja wieder einen tollen Verlauf.... dann lassen wir das Thema wohl lieber.

Einen (sicherheits-) technischen Grund scheint es dann ja nicht zu geben. Damit weiß ich eigentlich, was ich wissen wollte, so kann ich nichts übersehen, wenn ich das anders löse.

Nur warum muss man gleich so unsachlich und 'offensiv' werden? Ich habe nicht von diesem speziellen Forum gesprochen und auch niemand angegriffen. Wenn nichts gegen die genannte Alternative spricht, warum das dann nicht einfach sagen anstatt mit einer Anspielung wie Restintelligenz zu kommen. Vom DAU (den man immer bedenken sollte) mal abgesehen gibt es auch z.B. ältere Menschen, die unsicher oder nicht mehr gut sehend sind.

Wie dem auch sei, ich werde dann mal sehen, wie ich das am einfachsten umgesetzt bekomme. Falls jemand noch (echte) Argument für oder gegen das eine oder andere oder ganz andere Verfahren hat, dann kann er das gern äußern. Danke.
« Letzte Änderung: 21. März 2013, 18:21:51 von Sammy »

Joomla-Hilfe

  • Oberwetterfrosch (Mod)
  • Beiträge: 155
Antw: Anmeldeverfahren
« Antwort #5 am: 22. März 2013, 12:25:37 »
Einen (sicherheits-) technischen Grund scheint es dann ja nicht zu geben. Damit weiß ich eigentlich, was ich wissen wollte, so kann ich nichts übersehen, wenn ich das anders löse.
Egal, wie du es löst: Du solltest auf jeden Fall durch ein Token oder sonstwie sicherstellen, daß es sich bei der Eingabe des Codes nicht um ein gefaketes POST handelt. Und denk dabei daran, daß man mit Tools wie Firebug auch versteckte Eingabefelder ganz leicht manipulieren kann.

Ich würde allerdings überhaupt kein Problem darin sehen, wenn die alte Adresse bis zur Bestätigung der neuen gültig bleibt. Wozu eine weitere Codeeingabe, die abgesichert werden muß?

Zitat
Nur warum muss man gleich so unsachlich und 'offensiv' werden? Ich habe nicht von diesem speziellen Forum gesprochen und auch niemand angegriffen.
Du hast unmittelbar vorher zweimal deine Mailadresse geändert. Entschuldige, daß ich da einen Zusammenhang gesehen habe.

Zitat
Wenn nichts gegen die genannte Alternative spricht, warum das dann nicht einfach sagen anstatt mit einer Anspielung wie Restintelligenz zu kommen. Vom DAU (den man immer bedenken sollte) mal abgesehen gibt es auch z.B. ältere Menschen, die unsicher oder nicht mehr gut sehend sind.
Denen bleibt immer noch der Weg über den freundlichen Admin. Das ändert trotzdem nichts daran, daß diese Eingabe wichtig ist und mit äußerster Sorgfalt vorgenommen werden sollte.

Ich würde es trotzdem einfach so machen wie oben vorgeschlagen: Die alte Adresse wird erst ungültig, wenn die neue wirksam bestätigt ist. So kann man beliebg oft eine falsche Adresse angeben, ohne sich damit auszusperren. Spaßig wird es allerdings, wenn man eine existierende, fremde Adresse angibt (so wie die vielen Spaßvögel, die meinedomain . de für eine tolle Beispieladresse halten und komplett ignorieren, daß sie tatsächlich jemandem gehört) und der Empfänger dann auf den Link klickt. Der kann sich dann ein neues Passwort schicken lassen und hat das Konto komplett übernommen. Allein deshalb ist es schon wichtig, an dieser Stelle keinen Fehler zu machen.
Dietmar

Die Realität ist eine Halluzination, die durch akuten Alkoholmangel hervorgerufen wird.

Sammy

  • Bestätigter Nutzer
  • Beiträge: 165
Antw: Anmeldeverfahren
« Antwort #6 am: 22. März 2013, 17:59:16 »
Hehe, dass ich zweimal die Adresse geändert habe, hat natürlich damit zu tun: Ich war sicher, das oft zum Aktivieren eine Mail geschickt wird, allerdings wusste ich nicht genau, wie das Vorgehen bei einer Änderung ist, also habe ich das hie und bei einem Shop repräsentativ getestet ;-)

Ich habe das jetzt so gelöst, dass ich beim Registrieren einen Button anbiete, der an die eingegebene Adresse einen Code sendet, der eingegeben werden muss. Der Server schreibt den neuen User dann nur weg, wenn die Adresse zum Code passt. Ändern kann man im Moment weder Mailadresse noch pw, das Problem habe ich also nicht :-), wird dann aber genauso gelöst.
Damit kann eigentlich niemand, der die Mail in die Finger bekommt etwas anfangen.

Damit der Button etwas sendet, muss noch ein Spamschutz-Feld gefüllt sein.

Das deckt sich glaube ich ganz gut mit Deinen Vorgaben :-)

Danke für die Anregungen, ich hoffe, dass ich Euch bald zu einem Beta-Test einladen kann. Alles weiter dann.

Schönes Wochenende!